Mailchimp: transferencia internacional de datos a EEUU
CONSULTA:
Tenemos contratado un servicio de marketing por correo electrónico a MailChimp, empresa ubicada en EEUU. ¿Hay que firmar un contrato de encargado de tratamiento?
RESPUESTA:
Sí que hay que firmar un contrato de encargo del tratamiento conforme al artículo 28 del GDPR, pero además hay que comprobar que ese flujo de datos, que supone una transferencia internacional (TID), sea lícito, y aunque en su política de privacidad MailChimp indica que cumple con el GDPR en lo relativo a la licitud de las TID, no cumple.
MailChimp antes de la anulación del Privacy Shield incluyó efectivamente en sus condiciones y términos de uso una cláusula que decía que ante la anulación de Privacy Shield, se activaban automáticamente las cláusulas contractuales tipo (CCT/SCC), sin necesidad de que sus clientes tuvieran que hacer nada más.
Así viene en: https://mailchimp.com/es/help/mailchimp-european-data-transfers/
Sin embargo, en su momento la AEPD ya se pronunció sobre MailChimp en varias consultas; rechazando de forma sistemática todas las solicitudes de los usuarios de la plataforma en base a dos argumentos:
- No es posible acreditar la firma de los representantes legales de MailChimp a través de ningún medio fehaciente. Además, las identidades de estos responsables tampoco figuraban en las cláusulas SCC.
- El contrato está inglés, lo que conlleva dos irregularidades. Primero, de acuerdo con LOPDGDD es obligatorio que cualquier documento entregado a la administración pública esté traducido a la lengua oficial. Y segundo, puesto que no está en español, podría anularse la validez del consentimiento de los usuarios, en caso de que estos no tengan el nivel adecuado en inglés (es decir, no pueden entender a qué están dando consentimiento).
https://mailchimp.com/legal/data-processing-addendum/#Annex_C_-_Standard_Contractual_Clauses
Además, las CCT/SCC no están actualizadas a las adoptadas en junio por la comisión y aunque aún estarían en plazo hasta diciembre 2022, no consta que hayan adoptado, siguiendo las recomendaciones 1/2020 del CEPD medidas adicionales
“2010 Standard contractual clauses for the transfer of personal data from the Community to third countries (controller to processor transfers)”:
https://mailchimp.com/legal/data-processing-addendum/#Annex_B_%E2%80%93_Security_Measures
Además, la Autoridad de Control del Estado de Baviera (Alemania) también se ha pronunciado recientemente concluyendo que el uso de MailChimp no cuenta con las medidas necesarias para realizar transferencias de datos a EEUU, declarando que el uso de la herramienta por parte de una empresa alemana es contrario al art. 44 y siguientes del GDPR ya que se produce una transferencia internacional de datos a EEUU sin contar con medidas adecuadas para garantizar un nivel adecuado de protección de datos.
En el caso en cuestión, la empresa había suscrito las cláusulas estándar de protección de datos de la UE para transferir datos a EEUU, sin embargo, no se habían adoptado "medidas adicionales" en el sentido de la decisión C-311/18 "Schrems II" del TJUE necesarias para que las transferencias internacionales de datos a EEUU sean conformes con la normativa de protección de datos. En este sentido, la Autoridad de Control del Estado de Baviera entiende que hay indicios de que, en el presente caso, los servicios de inteligencia de los Estados Unidos, sobre la base de la ley estadounidense, pueden acceder a los datos de MailChimp al ser un proveedor de servicios de comunicaciones electrónicas. Por ello, entiende que la transferencia de datos a EEUU sólo podría ser permisible mediante la adopción de dichas medidas adicionales.